Framework COBIT

Marcos Paulo Moro

2007 IT Governance Institute. All rights reserved.

A necessidade de Governana de TI

Governana Corporativa um conjunto de

responsabilidades e prticas, exercido pelo Comit Diretivo ou Executivo, com o objetivo de: Prover direcionamento estratgico

Garantir que os objetivos so alcanados

Garantir que os riscos so apropriadamente gerenciados Verificar que os recursos corporativos so utilizados de forma responsvel

www.itgi.org www.itgi.org

RESOURCE MANAGEMENT

2007 IT Governance Institute. All rights reserved.

Governana Corporativa direciona Governana de TI

Governana Corporativa :
Conformidade Aderente a legislao, polticas internas, requisies de auditoria, etc.
Performance Melhoria nos resultados, eficincia, eficcia, crescimento, etc.
Performance

Conformidade

Governana Corporativa e Governana de TI requerem que o balano entre os objetivos de conformidade e performance sejam ditados pelo Comit.

2007 IT Governance Institute. All rights reserved.

reas de Foco de Governana de TI

Alinhamento Estratgico Agregao de Valor Gerenciamento de Recursos Gesto de Riscos

Tem como foco garantir uma integrao do negcio com os planos de TI; na definio, manuteno e validao das proposies de valor para TI; e no alinhamento das operaes de TI com as operaes corporativas sobre a execuo da proposio de valor atravs do ciclo de entrega, garantindo que os entregveis de TI cumpram os benefcios estabelecidos na estratgia, concentrando-se nos custos timos fixados e provendo um valor intrnsico de TI. sobre a otimizao de investimento e do prprio gerenciamento dos recursos crticos de TI, aplicaes, informaes, infraestrutura e pessoas. O ponto chave est relacionado a otimizao do conhecimento e de infraestrutura. Ateno aos Riscos requerida do Executivo Senior da corporao, um claro entendimento do apetite da corporao pelo risco, entendimento da conformidade (compliance) requerida, transparncia sobre o significado do risco para a corporao, e a estrutura de responsabilidade pelo gerenciamento dos riscos na corporao. Trilha e monitora a implementao de estratgia, concluso de projetos, uso de recursos, performance de processos e entrega de servios, usando, por exemplo, Balance ScoreCards para traduzir estratgias em aes, com vistas a atingir os objetivos mensurados via apontamento convencional.

Medio de Performance

2007 IT Governance Institute. All rights reserved.

Trabalhando Governana de TI

Para fazer a implementao de um projeto de Governana de TI necessitamos:

Fazer a Governana de TI uma soluo vivel capaz de negociar os desafios e percalos presentes em TI. Foco em melhoria de performance e permitir vantagens competitivas para previnir problemas futuros. Fazer Governana de TI compartilhar responsabilidades entre o negcio (clientes) e o provedor de servios de TI, com total aprovao e direcionamento do Comit Executivo da corporao. Alinhamento da Governana de TI no grande esquema da Governana Corporativa. Comit Executivo e Comit de Direcionamento necessitam extender a Governana Corporativa para incluir TI, provendo a necessria liderana, estrutura organizacional e insistindo no correto gerenciamento e controle de seus processos.

2007 IT Governance Institute. All rights reserved.

Partes Interessadas na Governana de TI

Comit de Direo e Comit Executivo Gestor do Negcio

Define a direo de TI, monitora os resultados e insiste em medidas corretivas.

Define as necessidades de negcio para TI e garante a agregao de valor e se os riscos so gerenciados.

Entrega e melhoria os servios de TI, de acordo com as requisies do negcio. Provem garantia independente para demonstrar que TI est entregando o que necessrio para a organizao.

Gestor de TI
Auditores de TI Riscos e Conformidade

Mede a conformidade com polticas e alertas para novos riscos.

2007 IT Governance Institute. All rights reserved.

COBIT prove um Framework para Governana de TI

COBIT ajuda a estabelecer uma ponte entre os riscos do negcio, as necessidades de controle e questes tcnicas. Prov as melhores prticas, atravs de um framework para domnio e processos, e apresenta atividades em uma forma lgica e gerencivel.
COBIT: Inicia com os requisitos de negcio orientado a processo, as atividades de TI da organizao dentro de um modelo de processo geralmente aceito. Identifica os maiores recursos de TI a serem estabilizados Incorpora os maiores padres internacionais Tem como foco o padro de fato para todos os controles de TI.

Recursos de TI necessrios a serem gerenciados por um conjunto de processos naturalmente agrupados. COBIT prov um framework que consegue este objetivo.
7

2007 IT Governance Institute. All rights reserved.

Como o COBIT pode ajudar na implementao de uma efetiva Governana de TI?

COBIT possibilita as seguintes vantagens quando da implementao de Governana de TI:
Mapeia os objetivos de TI com os objetivos do negcio e vice-versa Melhor alinhamento, baseado no foco em negcio Uma viso de que o que TI faz compreendida pela Gerncia Clara propriedade e responsabilidade baseado na orientao a processo Geralmente aceito por terceiros e rgos reguladores Compartilha entendimento de todas as partes interessadas, baseado em uma linguagem comum Compatvel com os requisitos estabelecidos pelo COSO, quando do controle do ambiente de TI

2007 IT Governance Institute. All rights reserved.

COBIT e outros Frameworks para TI

Organizaes consideram e usam uma variedade de modelos de TI, padres e melhores prticas. Isto deve ser entendido na forma como eles podem ser utilizados em conjunto, com o COBIT atuando como um consolidador.
COSO

COBIT
ISO 17799 ISO 9000 O que ITIL Como

Escopo de Cobertura

2007 IT Governance Institute. All rights reserved.

Onde o Cobit se posiciona?

Drivers

PERFORMANCE Objetivos do Negcio

CONFORMIDADE Basel II, SarbanesOxley Act, etc.

Governana Corporativa

Balanced Scorecard

COSO Comisso Nacional sobre Fraudes em Relatrios Financeiros

Governana de TI

COBIT

Padres de Melhores Prticas

ISO 9001:2000

ISO 17799

ISO 20000

Processos e Procedimentos

Procedimentos QA

Princpios de Segurana

ITIL

2007 IT Governance Institute. All rights reserved.

10

COBIT Framework

O framework COBIT foi criado com as seguintes caractersticas:

Foco em Negcio Orientado a Processo Baseado em Controles

Direcionado a Mtricas

COBIT a inicial de Control Objectives for Information and related Technology.

COBIT Framework Characteristics

2007 IT Governance Institute. All rights reserved.

11

COBIT: Um framework de Controle de TI

Governana

Gerenciamento Evoluo

Controle

Auditoria

COBIT 1 1996

COBIT 2 1998

COBIT 3 2000

COBIT 4 2005

As ltimas atualizaes do COBIT, encontram-se em www.isaca.org/cobit.

2007 IT Governance Institute. All rights reserved.

12

COBIT: Valores e Limitaes

COBIT:

Tem aceitao internacional de melhores prticas orientado a gerenciamento suportado por ferramentas e treinamento

free download
Permite que o conhecimento de especialistas-voluntrios, seja compartilhado e difundido Continuamente em desenvolvimento mantido por uma organizao sem fins lucrativos (ISACA) Mapeia 100% do COSO Mapeia fortemente todos os maiores padres de mercado uma referncia, no uma soluo pronta

As organizaes necessitam analisar os seus requisitos de controle e customizar o C OBIT baseado em seus:

Direcionamento de Valor Value Drivers Perfil de Risco - Risk profile Infraestrutura e organizao de TI, e Portfolio de Projetos
13

2007 IT Governance Institute. All rights reserved.

Componentes do COBIT
Uma organizao depende de dados confiveis e oportunos. Os componentes do COBIT provem um framework compreensvel para agregar valor, enquanto gerenciando riscos de dados e informaes.

Recursos de TI

Estratgia de Negcio

Processos de TI

Critrios da Informao

2007 IT Governance Institute. All rights reserved.

14

COBIT: Vantagens
Algumas das vantagens em se adotar COBIT:

COBIT est alinhado com outros padres e melhores prticas e dever ser usado em conjunto com eles. O framework COBIT suporta e suportado pelas melhores prticas, provendo assim um ambiente de TI bem gerenciado e flexvel, dentro da organizao.

COBIT prov um ambiente de controle que responsvel em garantir as necessidades de negcio e servir para funes de gerenciamento e auditoria, a partir de suas responsabilidades de controle.
COBIT prov ferramentas para auxiliar no gerenciamento das atividades de TI.

2007 IT Governance Institute. All rights reserved.

15

COBIT e Governana de TI

COBIT foca na melhoria da Governana de TI das organizaes.

COBIT prov um framework para gerenciar e controlas as atividades de TI e dar suporte a cinco requisitos adequados a um framework de controle
Prov mais foco no negcio

Define uma linguagem comum

Garante orientao a processo

Control Framework

Auxilia na obteno dos Requisitos regulatrios

Tem aceitao geral pelas organizaes

2007 IT Governance Institute. All rights reserved.

16

COBIT e Governana de TI (Cont.)

Foco em Negcio

COBIT busca foco estrito no Negcio atravs do alinhamento dos objetivos de TI com os objetivos de Negcio. A medio de performance de TI dever ter foco na contribuio de TI para habilitar e extender as estratgias de Negcio. COBIT, suportado por apropriadas mtricas com foco no Negcio, que garentem que o foco primrio a agregao de valor e no a excelncia tcnica como um fim em si mesmo.
Garante

Prov mais foco no negcio

Define uma linguagem comum

orientao a processo

Control Framework

Auxilia na obteno dos Requisitos regulatrios

Tem aceitao geral pelas organizaes

2007 IT Governance Institute. All rights reserved.

17

COBIT e Governana de TI (Cont.)

Orientado a Processo

Quando a organizao implementa COBIT, seu foco orientado a processo. Incidentes e Problemas no desviam a ateno dos processos. Excees podem ser claramente definidas como parte de processos padres. Com o dono do processo definido, indicado e aceito, a organizao manter um melhor controle quando de perodos de rpidas mudanas ou crises organizacionais.

Prov mais foco no negcio

Define uma linguagem comum

Garante
orientao a processo

Control Framework

Auxilia na obteno dos Requisitos regulatrios

Tem aceitao geral pelas organizaes

2007 IT Governance Institute. All rights reserved.

18

COBIT e Governana de TI (Cont.)

Aceitao Geral

COBIT prov um padro globalmente aceito como forma de aumentar a contribuio de TI para o sucesso da organizao.

Prov mais foco no negcio

Define uma linguagem comum

O framework continua sendo continuamente melhorado e desenvolvido, com vistas a manter-se alinhado com as melhores prticas de mercado.
Profissionais de TI de todo o mundo contribuem com suas idias e tempo para regularmente revisar o contedo do COBIT.

Garante
orientao a processo

Control Framework

Auxilia na obteno dos Requisitos regulatrios

Tem aceitao geral pelas organizaes

2007 IT Governance Institute. All rights reserved.

19

COBIT e Governana de TI (Cont.)

Requisitos Regulatrios

Os recentes escandalos corporativos aumentaram a presso regulatria sobre o corpo diretivo (direo) no sentido de reafirmar o seu status e garantir que os controles internos so adequados. Estas presses tambm focam a rea de TI. Organizaes constantemente necessitam melhorar a performance de TI e demonstrar controles adequados sobre suas atividades.
Garante

Prov mais foco no negcio

Define uma linguagem comum

orientao a processo

Control Framework

Muitos gerentes de TI, consultores e auditores esto tornando o COBIT como a resposta de fato aos requisitos regulatrios de TI.

Auxilia na obteno dos Requisitos regulatrios

Tem aceitao geral pelas organizaes

2007 IT Governance Institute. All rights reserved.

20

COBIT e Governana de TI (Cont.)

Linguagem comum

Um framework auxilia todos a utilizarem o mesmo conjunto de termos crticos e tambm prov um glossrio de termos e expresses.

Prov mais foco no negcio

Define uma linguagem comum

A coordenao interna e externa das equipes de projeto e da organizao, pode ter um papel chave no sucesso de qualquer projeto.
Uma linguagem comum ajuda a construir confiana e verdade.

Garante orientao a processo Control Framework

Auxilia na obteno dos Requisitos regulatrios

Tem aceitao geral pelas organizaes

2007 IT Governance Institute. All rights reserved.

21

COBIT: Premissas

O framework COBIT baseado na premissa de que TI necessita entregar informao a uma corporao para que atinja os seus objetivos.

Obter

Objetivos de Negcio

i
Informao prov Recursos de TI e processos

para

Processos de Negcio

O framework COBIT ajuda a alinhar TI com o Negcio atravs do foco nos requisitos de informao de negcio e a organizao dos recursos de TI. COBIT prov um framework e um guia para implementar a Governana de TI.

2007 IT Governance Institute. All rights reserved.

22

COBIT: Princpios
O princpio do framework COBIT o de prover um link entre as expectativas com as responsabilidades de gerenciamento de TI. O objetivo facilitar a Governana de TI para agregar valor a TI, enquanto gerenciando Riscos em TI.

Recursos de TI

Estratgia de Negcio

Processos de TI

Critrio da Informao

2007 IT Governance Institute. All rights reserved.

23

COBIT Framework
Como um framework para governana e controle de TI, COBIT foca duas reas chaves:

Prover as informaes requeridas para suportar os objetivos de negcio e seus requisitos; e Tratar informao como resultado da combinao de aplicaes e recursos de TI, que necessitam ser adequadamente gerenciados por processos de TI
Criteros da Informao Processos de TI Efetividade Eficincia Confidencialidade Integridade Disponibilidade Conformidade Confiabilidade

Requisitos de Negcio

Abordagem de Controle
Recursos de TI

Processos de TI Dominios Consideraes ....

Aplicaes Informaes Infraestrutura Pessoas

Processos Atividades

2007 IT Governance Institute. All rights reserved.

24

COBIT Cube
O framework COBIT descreve como os processos de TI entregam a informao que o Negcio necessita para atingir os seus objetivos. Para controlar esta entrega, COBIT prov trs componentes chaves, cada qual formando uma dimenso do COBIT cube.

Exigncias de negcio para critrios da informao

Recursos de TI

Processos de TI

2007 IT Governance Institute. All rights reserved.

25

COBIT Cube: Processos de TI

COBIT descreve o ciclo de vida de TI com o auxlio de cinco dominios:

Planejar e Organizar (Plan and Organise) Adquirir e Implementar (Acquire and Implement) Entregar e Suportar (Deliver and Support)

Monitorar e Avaliar (Monitor and Evaluate)

Processos so uma srie de atividades com controles de parada naturais. Exitem no COBIT 34 processos divididos em quatro Domnios. Estes processos especificam as necessidades de negcio necessrias para atingir seus objetivos. As entregas de informao controlada atravs dos 34 objetivos de controle de alto-nvel, um para cada processo. Atividade so aes ou um conjunto de tarefas que so necessrias para se obter resultados mensurveis. Alm disso, atividades tem seu prprio ciclo de vida e podem incluir uma srie de tarefas discretas.
Critrio da Informao

Dominio Processos Atividades Processos de TI

2007 IT Governance Institute. All rights reserved.

Recursos de Ti

26

COBIT Cube: IT Domnios

Planejar e Organizar (PO) Objetivos: Formular estratgias e tticas Identificar como TI pode melhor contribuir para obter os objetivos de Negcio Planejar, comunicar e gerenciar a realiza da viso estratgica Implementao organizacional e tecnolgica da Infraestrutura Escopo: Esto TI e Negcio estrategicamente alinhados? Est a organizao obtendo uso timo de seus recursos? Qualquer pesso na organizao entende os objetivos de TI? Os riscos de TI so entendidos e adequadamente gerenciados? A qualidade dos sistemas de TI so apropriadas para as necessidades do Negcio?

TI e Negcio
2007 IT Governance Institute. All rights reserved.

27

COBIT Cube: IT Domnios (Cont.)

Vamos ver o modelo de processo do COBIT, que consiste de 34 processos definidos dentro dos quatro Domnios.

Planejar e Organizar PO1 Definir um plano estratgico de TI. PO2 Definir a arquitetura da Informao. PO3 Determinar a direo tecnolgica. PO4 Definir os processos, organizao e relacionamento de TI. PO5 Gerenciar os investimentos em TI. PO6 Auxiliar no Gerenciamento da Comunicao e do Direcionamento. PO7 Gerenciar os Recursos Humanos de TI. PO8 Gerenciar a Qualidade. PO9 Avaliar e controlar os Riscos de TI. PO10 Gerenciar Projetos.

Planejar e Organizar Processos de TI

Adquirir e Implementar

Entregar e Suportar

Monitorar e Avaliar

2007 IT Governance Institute. All rights reserved.

28

COBIT Cube: IT Domnios (Cont.)

Adquirir e Implementar (AI)

Objetivos:

Identificar, desenvolver ou adquirir, implementar e integrar solues de TI.

Mudanas e manuteno dos sistemas existentes.

Escopo: Esto os novos projetos aptos a entregar solues que reunem as necessidades de Negcio? Esto os novos projetos aptos a serem entregues dentro dos custos e prazos definidos? Os novos sistemas trabalharo adequadamente quando implementados? As mudanas sero feitas sem afetar as operaes atuais do Negcio?

?
Novos projetos Organizao
2007 IT Governance Institute. All rights reserved.

29

COBIT Cube: IT Domnios (Cont.)

Adquirir e Implementar

Planejar e Organizar Processos de TI

Adquirir e Implementar

Entregar e Suportar

Monitorar e Avaliar

AI1 Identificar solues automticas. AI2 Adquirir e manter software aplicativo. AI3 Adquirir e manter tecnologicamente a Infraestrutura. AI4 Habilitar Operao e Uso. AI5 Procurar recursos de TI. AI6 Gerenciar mudanas. AI7 Instalar e certficar solues e mudanas

2007 IT Governance Institute. All rights reserved.

30

COBIT Cube: IT Domnios (Cont.)

Entregar e Suportar (DS)

Objetivos:

A atual entrega dos servios requeridos, incluindo o servio de entrega.

Gerenciamento da segurana, continuidade, dados e facilidades operacionais. Servio de suporte a usurios estruturado.

Escopo: Esto os servios de TI alinhados com as prioridades de Negcio? Esto os custos otimizados? Est a fora de trabalho apta a usar os sistemas de TI de forma produtiva e com segurana? So adequadas a confidencialidade, integridade e disponbilidade das informaes?

Servios de TI

Prioridades de Negcio

2007 IT Governance Institute. All rights reserved.

31

COBIT Cube: IT Domnios (Cont.)

Entregar e Suportar

DS1 Definir e gerenciar Nveis de Servios. DS2 Gerenciar os Prestadores de Servios. DS3 Gerenciar Disponibilidade e Capacidade. DS4 Garantir a Continuidade dos Servios. DS5 Garantir a Segurana dos Sistemas. DS6 Identificar e alocar os Custos. DS7 Educar e treinar Usurios. DS8 Gerenciar a Central de Servios e Incidentes. DS9 Gerenciar a Configurao. DS10 Gerenciar Problemas. DS11 Gerenciar Dados. DS12 Gerenciar o Ambiente Fsico. DS13 Gerenciar Operaes.

Planejar e Organizar Processos de TI

Adquirir e Implementar

Entregar e Suportar

Monitorar e Avaliar

2007 IT Governance Institute. All rights reserved.

32

COBIT Cube: IT Domnios (Cont.)

Monitorar e Avaliar (ME)

Objetivos:

Gerenciamento de Performance
Monitoramento de Controles Internos Conformidade com Agncias Reguladoras Governana

Escopo: A performance de TI mensurada para detectar problemas antes que eles aconteam? Gerenciamento garante que Controles Internos so efetivos e eficazes? Pode a disponibilidade de TI ser combinada aos objetivos de Negcio? So Riscos, Controle, Conformidade e Performance medidos e reportados?

TI
2007 IT Governance Institute. All rights reserved.

Performance
33

COBIT Cube: IT Domnios (Cont.)

Monitorar e Avaliar ME1 Monitorar e avaliar a Performance de TI. ME2 Monitorar e avaliar Controles Internos. ME3 Garantir conformidade com exigncias externas. ME4 Prover Governana de TI.

Planejar e Organizar Processos de TI

Adquirir e Implementar

Entregar e Suportar

Monitorar e Avaliar

2007 IT Governance Institute. All rights reserved.

34

COBIT Cube: Critrios da Informao

Para satisfazer os objetivos de Negcio, as informaes necessitam estar em conformidade com critrios especficos de controle, que o COBIT consulta como exigncia do Negcio para a informao.
Amplamente, os critrios so baseados nas seguintes exigncias: Qualidade

Fiduciria
Segurana
Exigncias de Qualidade Exigncias Fiduciria Exigncias de Segurana

Critrios da Informao

Recursos de TI Processos de TI

2007 IT Governance Institute. All rights reserved.

35

COBIT Cube: Critrios da Informao (Cont.)

Lida com a relevncia da informao e pertinncia aos processos de negcio bem como a sua disponibilidade em prazo apropriado, de forma correta, precisa, consistente e em formado adequado para utilizao.

Eficcia

Exigncias de Qualidade Exigncias Fiduciria Exigncias de Segurana

Eficincia

Refere-se proviso da informao atravs da melhor (mais produtiva e econmica) forma de utilizao dos recursos.

Critrios da Informao

Confidencialidade

Refere-se proteo de informao considerada privilegiada contra divulgao no autorizada.

Relaciona-se com a preciso e exatido da informao, bem como sua validade de acordo com os padres e expectativas de negcio estabelecidas.

Recursos de TI Processos de TI

Integridade

Disponibilidade

Relaciona-se a prover a informao no momento em que for requerida pelos processos de negcio, o que inclui tambm a salvaguarda dos recursos.

Conformidade

Lida com o cumprimento das leis, regulamentos e clusulas contratuais aos quais um determinado processo de negcio est sujeito. (O foco est em atender regulamentaes externas). Relaciona-se ao fornecimento, por parte dos sistemas, de informaes apropriadas aos gerentes para a tomada de deciso, relatrios financeiros precisos e informaes adequadas aos rgos normatizadores sobre o cumprimento das leis.
36

Confiabilidade

2007 IT Governance Institute. All rights reserved.

COBIT Cube: Recursos de TI

Processos de gerenciamento de recursos de TI para gerar, entregar e armazenar informaes que a organizao necessita para obter seus objetivos.
Os recursos de TI, segundo o COBIT podem ser definidos da seguinte maneira: Aplicaes so os sistemas automatizados do usurio e procedimentos manuais que processam informaes.

Informao o dado em todas suas formas de entrada, processamento e sada pelos sistemas de informao, seja qual for a maneira que seja usado pelo negcio.
Infraestrutura a tecnologia e facilidades (hardware, sistemas operacionais, sistemas de gerenciamento de bancos de dados, rede, multimidia, etc., e o ambiente que os contm e suporta) que possibilitam o processamento das aplicaes.

Pessoas so o pessoal necessrio para planejar, organizar, adquirir, implantar, entregar, suportar, monitorar e avaliar a informao, sistemas e servios. Podem ser internos, terceirizados ou contratados sob demanda.
Critrios da Informao Aplicaes Informaes Infraestrutura Pessoas Recursos de TI
2007 IT Governance Institute. All rights reserved.

Processos de TI

37